【金融行业】厘清支付机构业务边界,强化数据保护要求——评《非银行支付机构监督管理条例》

（以下内容从兴业研究《【金融行业】厘清支付机构业务边界,强化数据保护要求——评《非银行支付机构监督管理条例》》研报附件原文摘录）
　　作者：任图南，陈昊，鲁政委 近年来，非银支付业务随着我国数字经济、电子商务等的兴起而快速发展，原有监管规定已难以适配条码支付等新兴支付模式。2023年12月17日，国务院公布《非银行支付机构监督管理条例》（以下简称“《条例》”）[1]，《条例》主要通过四方面完善了非银支付机构的监管： 第一，《条例》将支付机构的业务严格限制于支付业务，不得从事清算业务。此前，在非银行支付机构与银行直连时期，支付机构点对点模式直接连接各家银行进行支付交易，实质上已经开展清算业务。在支付机构完成“断直连”后，《条例》重申支付机构不得从事清算业务。 第二，从“功能监管”出发，明确支付业务类型，适配当前业务发展实际。此前，我国监管机构对支付业务类型的划分以“交易渠道”与“受理终端”为标准，《条例》以“功能”为标准划分支付业务类型，从而使得监管规则能够适配当前数字经济发展下的监管实际。 第三，《条例》明确了从事储值账户运营业务的非银支付机构权利边界，进而在互联网支付业务以及备付金管理制度的基础上，进一步厘清了用户的缴存预付资金与存款这两个行为的区别。 第四，《条例》压实非银行支付机构的反洗钱、反恐怖融资等义务，叠加近年来在《反电信网络诈骗法》及相关反洗钱监管处罚和法律执行过程中的实践，非银支付机构支付账户开立和支付服务提供过程中的客户尽职调查、受益所有人识别等过程的要求已于银行账户相类似，由此，非银支付机构的反洗钱义务和压力将上升，展业便利性或将受到影响。 第五，相较于2021年的《征求意见稿》，《条例》正式稿中删除了对支付机构具有市场支配地位的具体认定条件。这一变化也与此前平台企业金融业务由集中整改转入常态化监管的精神相一致。 第六，《条例》从多个方面强调支付机构的数据保护义务。一是禁止非银行支付机构留存银行账户、支付账户敏感信息。该要求或将对平台企业和支付机构或基于支付数据开展金融产品营销和授信造成一定影响。二是在非银行支付机构违反数据保护相关规定将依照国家有关法律规定进行处罚。三是明确了支付业务中的数据跨境需要按照我国的监管规定进行。 第七，《条例》将防范化解风险、保护用户合法权益摆在突出位置。一是坚持持牌经营，严格准入门槛；二是完善支付业务规则，强化风险管理。三是加强用户权益保障。四是依法加大对严重违法违规行为处罚力度。 事件： 2023年12月17日，国务院公布《非银行支付机构监督管理条例》（第768号国务院令，以下简称“《条例》”）[2]，自2024年5月1日起施行。此前，2021年1月20日，人民银行就《非银行支付机构条例（征求意见稿）》（以下简称“《征求意见稿》”）公开征求意见。 点评： 近年来，非银行支付业务随着我国数字经济、电子商务等新业态的兴起而快速发展，原有的监管规定已难以适配条码支付等新兴支付模式。《条例》根据市场的变化，全面完善了非银行支付机构的监管。 一、明确非银支付机构不得从事清算业务 《条例》将支付机构的业务严格限制于支付业务，不得从事清算业务。 《条例》第三十条规定：“非银行支付机构应当通过中国人民银行确定的清算机构处理与银行业金融机构、其他非银行支付机构之间合作开展的支付业务，遵守清算管理规定，不得从事或者变相从事清算业务。” 对于支付业务而言，清算过程指支付活动中产生金融信息数据的撮合、传递、归集和清分，即支付中的信息运动（支付清算协会，2020）[3]。此前，在非银行支付机构与银行直连时期，支付机构点对点模式直接连接各家银行进行支付交易，完成支付清算业务，而非通过卡组织或支付清算转接机构，实质在其内部已经开展清算业务。非银行支付机构基于其支付账户余额开展的“本代本交易”，造成资金在支付机构内部流动，监管机构无法穿透监管，存在业务风险。 2017年8月4日，人民银行支付结算司印发了《关于将非银行支付机构网络支付业务由直连模式迁移至网联平台处理的通知》，规定自2018年6月30日起，支付机构受理的涉及银行账户的网络支付业务全部通过网联平台处理，各银行和支付机构应于2017年10月15日前完成接入网联平台和业务迁移相关准备工作。在一定程度上能够纠正第三方支付机构违规从事跨行清算业务，改变支付机构与银行多头连接开展业务的问题。2019年初，非银行支付机构“断直连”已基本完成。 《条例》再次重申非银行支付机构不得从事或者变相从事清算业务，延续此前的监管要求，明确了支付机构开展业务时应回归支付本源。 二、完善支付业务规则，防范监管空白 《条例》明确支付业务类型为储值账户运营和支付交易处理，重塑非银行支付业务规则，防范监管空白。 《条例》规定：“非银行支付业务根据能否接收付款人预付资金，分为储值账户运营和支付交易处理两种类型，但是单用途预付卡业务不属于本条例规定的支付业务。储值账户运营业务和支付交易处理业务的具体分类方式和监督管理规则由中国人民银行制定。” 2021年1月20日，人民银行所发布的《征求意见稿》中，给出了两种支付业务类型的定义。储值账户运营是指通过开立支付账户或者提供预付价值，根据收款人或者付款人提交的电子支付指令，转移货币资金的行为。支付交易处理是指在不开立支付账户或者不提供预付价值的情况下，根据收款人或者付款人提交的电子支付指令，转移货币资金的行为。 此前，我国监管机构对支付业务类型的划分以“交易渠道”与“受理终端”为标准，《条例》以“功能”为标准划分支付业务类型，未来将强化功能监管。2010年6月14日，人民银行发布《非金融机构支付服务管理办法》，按照交易渠道和受理终端，将支付业务分为网络支付、银行卡收单和预付卡业务等三类。网络支付是指依托公共网络或专用网络在收付款人之间转移货币资金的行为，包括货币汇兑、互联网支付、移动电话支付、固定电话支付、数字电视支付等。预付卡是指以营利为目的发行的、在发行机构之外购买商品或服务的预付价值，包括采取磁条、芯片等技术以卡片、密码等形式发行的预付卡。银行卡收单是指通过销售点（POS）终端等为银行卡特约商户代收货币资金的行为。 随着技术创新和业务发展，此前的分类方式不能很好地适配市场发展和监管需要。例如，新出现的条码支付、刷脸支付等新兴方式，可以在不借助POS机等实体介质的情况下，将网络支付工具用于线下支付场景，突破了网络支付与银行卡收单的业务分类界限，基于“支付渠道”与“交易介质”的业务分类方法不再适用。开展条码支付业务的机构，需要按照线上或者线下展业来获得不同的资质，2017年12月27日，人民银行发布《条码支付业务规范（试行）》（银发〔2017〕296号），规定：“非银行支付机构（以下简称支付机构）向客户提供基于条码技术的付款服务的，应当取得网络支付业务许可；支付机构为实体特约商户和网络特约商户提供条码支付收单服务的，应当分别取得银行卡收单业务许可和网络支付业务许可。” 《条例》结合多年监管实践，借鉴其他国家和地区支付业务分类经验，坚持功能监管理念，从业务实质出发，根据其能否接收付款人预付资金，分为储值账户运营和支付交易处理两类。司法部、人民银行在《非银行支付机构监督管理条例》的答记者问中指出[4]，新的分类方式具有以下特点： 一是具有良好的扩展性，有利于防范监管空白。新的分类方式下，无论支付业务外在表现形式如何，均可按照业务实质进行归类和管理，能较好地适应行业发展变化，将各种新型支付渠道、支付方式归入两大基本业务类型。 二是避免监管套利，有利于促进公平竞争。新的分类方式基于业务实质和风险特征，穿透支付业务表面形态，有利于统一资本等准入条件和业务规则要求，消除监管洼地，形成公平的制度环境。 按照功能监管的思路，《条例》简化了此前在支付业务分类方法上存在的监管空白或者范围冲突，划分规则更加科学、清晰。例如，基于支付账户余额的条码支付归属于储值账户运营，而不基于支付账户余额的条码支付则归属于支付交易处理。 三、明确客户预付资金与存款行为的差异 《条例》明确了从事储值账户运营业务的非银支付机构权利边界，进而在互联网支付业务以及备付金管理制度的基础上，进一步厘清了用户的缴存预付资金与存款这两个行为的区别。 《条例》明确：“从事储值账户运营业务的非银行支付机构应当将从用户处获取的预付资金及时等值转换为支付账户余额或者预付资金余额。用户可以按照协议约定提取其持有的余额，但是非银行支付机构不得向用户支付与其持有的余额有关的利息等收益。” 对于预付资金转换为支付账户余额的情况，所谓支付账户仅仅是电子簿记，而非与银行账户等价的具有实际功能的实体账户，资金在支付账户簿记之后，最终也将流入银行的专用账户。根据《〈非银行支付机构网络支付业务管理办法〉条款释义》（以下简称“《释义》”），《非银行支付机构网络支付业务管理办法》中所称的“支付账户”，指的是：“互联网支付业务许可的支付机构，根据客户的真实意愿为其开立的，用于记录预付交易资金余额、客户凭以发起支付指令、反映交易明细信息的电子簿记。” 应当指出的是，对于转换为支付账户余额的预付资金，其最终将以非银支付机构企业的名义存入专门的存款账户，以供客户随时调用。《释义》指出：“支付账户所反映余额的本质是预付价值，类似于预付费卡中的余额，与客户的银行存款不同。该余额资金虽然所有权归属于客户，却未以客户本人名义存放在银行，而是支付机构以其自身名义存放在银行，并实际由支付机构支配与控制。同时，该余额仅代表支付机构的企业信用，法律保障机制上远低于《人民银行法》、《商业银行法》及《存款保险条例》保障下的央行货币与商业银行货币。” 对于预付资金转换为预付资金余额的情况，除了部分特定业务（跨境人民币支付、基金销售支付、跨境外汇支付等）待结算资金之外，这些预付资金都需要缴存至人民银行的相关存款账户。根据人民银行2021年1月发布的《非银行支付机构客户备付金存管办法》（人民银行令〔2021〕第1号，以下简称“《办法》”），备付金指的是“非银行支付机构为办理客户委托的支付业务而实际收到的预收待付货币资金”。而《办法》要求：“非银行支付机构因发行预付卡或者为预付卡充值所直接接收的客户备付金应当通过预付卡备付金专用存款账户统一交存至备付金集中存管账户。”《办法》还同时指出，非银支付机构应当在人民银行开立备付金集中存管账户，由此相关预付资金余额实际直接进入了人民银行直接管理的备付金集中存管账户。 《条例》也通过明确指出“非银行支付机构不得向用户支付与其持有的余额有关的利息等收益”的方式，进一步明确了支付账户中预付资金与银行账户中存款的差异。 此外，《条例》指出：“单用途预付卡业务不属于本条例规定的支付业务。”单用途预付卡是商业预付卡的一种，它是由商业企业发行，只在本企业或同一品牌连锁商业企业购买商品或服务用的一种预付卡。2011年5月23日，人民银行等七部门发布《关于规范商业预付卡管理的意见》（以下简称“《商业预付卡管理意见》”），其中规定：“未经人民银行批准，任何非金融机构不得发行多用途预付卡，一经发现，按非法从事支付结算业务予以查处。”《商业预付卡管理意见》对发行商业预付卡做出以下规定：一是建立商业预付卡购卡实名登记制度。对于购买记名商业预付卡和一次性购买1万元（含）以上不记名商业预付卡的单位或个人，由发卡人进行实名登记。二是实施商业预付卡非现金购卡制度。单位一次性购卡金额达5000元（含）以上或个人一次性购卡金额达5万元（含）以上的，通过银行转账方式购买，不得使用现金；使用转账方式购卡的，发卡人要对转出、转入账户名称、账号、金额等进行逐笔登记。三是实行商业预付卡限额发行制度。不记名商业预付卡面值不超过1000元，记名商业预付卡面值不超过5000元。 四、强化非银行支付机构反洗钱、反恐怖融资等义务 《条例》压实非银行支付机构的反洗钱、反恐怖融资等义务，非银行支付机构在展业中要落实“风险为本”的监管理念，展业便利性或将受到影响。 《条例》第五条规定：“非银行支付机构应当遵守反洗钱和反恐怖主义融资、反电信网络诈骗、防范和处置非法集资、打击赌博等规定，采取必要措施防范违法犯罪活动。” 支付机构在履行反洗钱等义务中面临较大挑战：一是其服务对象以小微商户为主，小额高频的交易模式给反洗钱带来较大难度。二是在备付金全额缴存人民银行后，支付行业的盈利模式高度依赖支付服务费，部分中小支付机构盈利能力较差，为了获得下沉客户的业务机遇，存在放松反洗钱合规要求的可能。 2023年，第三方支付机构所受处罚远超以往，“反洗钱”不力是受罚重灾区。2022年全年，第三方支付领域至少产生了56张罚单，罚没总金额超2.71亿元。2023年以来，截至11月7日，据不完全统计，已有超20家第三方支付机构被罚，百万级以上罚单达16张，合计罚没金额超60亿元。反洗钱合规已成为监管部门对第三方支付机构监管关注的又一重点。 2021年4月15日，人民银行发布《金融机构反洗钱和反恐怖融资监督管理办法》（中国人民银行令〔2021〕第3号），商业银行、第三方支付机构、清算机构等支付相关金融机构均属于适用范围。《条例》延续了《征求意见稿》中对反洗钱的规定，未来，支付机构要更加重视反洗钱义务，要落实“风险为本”的监管理念，其展业便利性或将受到影响。 应当特别指出的是，2022年出台的《反电信网络诈骗法》中，明确要求：“银行业金融机构、非银行支付机构为客户开立银行账户、支付账户及提供支付结算服务，和与客户业务关系存续期间，应当建立客户尽职调查制度，依法识别受益所有人，采取相应风险管理措施，防范银行账户、支付账户等被用于电信网络诈骗活动。”事实上，相关条款已将非银支付机构为客户开立支付账户并提供支付结算服务过程中的客户尽职调查、受益所有人识别等反洗钱要求提升至与银行账户的要求相同。在此背景下，非银支付机构的反洗钱义务和压力将显著上升。 五、移除市场支配地位认定标准 相较于2021年的《征求意见稿》，《条例》正式稿中删除了对支付机构具有市场支配地位的具体认定标准，这一变化也与此前平台企业金融业务由集中整改转入常态化监管的精神相一致。 《征求意见稿》中对非银行支付机构是否具有市场支配地位给出详细的认定标准，并规定了对应的监管措施，共有四条相关内容。《征求意见稿》第五十五条规定：“非银行支付机构有下列情形之一的，中国人民银行可以商国务院反垄断执法机构对其采取约谈等措施进行预警：（一）一个非银行支付机构在非银行支付服务市场的市场份额达到三分之一；（二）两个非银行支付机构在非银行支付服务市场的市场份额合计达到二分之一；（三）三个非银行支付机构在非银行支付服务市场的市场份额合计达到五分之三。” 《征求意见稿》第五十六条规定：“有下列情形之一的，人民银行可以商请国务院反垄断执法机构审查非银行支付机构是否具有市场支配地位：（一）一个非银行支付机构在全国电子支付市场的市场份额达到二分之一；（二）两个非银行支付机构在全国电子支付市场的市场份额合计达到三分之二；（三）三个非银行支付机构在全国电子支付市场的市场份额合计达到四分之三。” 2020年11月以来，从依法加强监管和有效防范风险的角度出发，金融管理部门督促指导大型平台企业全面整改金融活动中存在的违法违规问题。2023年7月7日，人民银行、金融监管总局、证监会联合发布新闻稿[5]，公布了对部分平台企业的行政处罚，明确指出平台企业金融业务存在的大部分突出问题已完成整改。金融管理部门工作重点从推动平台企业金融业务的集中整改转入常态化监管。 而《条例》中仅有一条涉及到非银行支付机构的垄断或不正当竞争行为，并移除了《征求意见稿》中关于市场支配地位的判定标准。 六、重视支付行业数据保护 支付行业拥有较多客户数据，《条例》从多个方面强调支付机构的数据保护义务。 在客户敏感信息方面，《条例》要求：“非银行支付机构应当以清算机构、银行业金融机构、其他非银行支付机构认可的安全认证方式访问账户，不得违反规定留存银行账户、支付账户敏感信息。”按照我国《个人信息保护法》的规定，客户的金融账户信息属于敏感个人信息，《条例》要求非银行支付机构不得留存银行账户、支付账户敏感信息，是对《个人信息保护法》的落实，或将对平台企业和支付机构基于支付数据开展金融产品营销和授信造成一定影响。 在违反数据保护规定的处罚方面，相较于《征求意见稿》，《条例》新增规定：“非银行支付机构违反本条例规定处理用户信息、业务数据的，依照《中华人民共和国个人信息保护法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等有关规定进行处罚。”这标志着支付领域的数据保护程度与我国最新的数据保护法律规定看齐，并规定了处罚方式，数据安全与个人隐私保护成为非银行支付机构未来的业务合规重点。 在跨境数据传输方面，《条例》新增规定：“非银行支付机构相关网络设施、信息系统等被依法认定为关键信息基础设施，或者处理个人信息达到国家网信部门规定数量的，其在境内收集和产生的个人信息的处理应当在境内进行。确需向境外提供的，应当符合法律、行政法规和国家有关规定，并取得用户单独同意。”由于部分支付机构经营跨境支付业务，存在数据跨境场景，《条例》明确了支付业务中的数据跨境需要按照我国的监管规定进行。 七、防范化解支付风险，保护用户合法权益 《条例》认真贯彻落实中央金融工作会议精神，将防范化解风险、保护用户合法权益摆在突出位置。司法部、人民银行在发布的《非银行支付机构监督管理条例》答记者问中指出[6]，主要有以下四个方面内容： 一是坚持持牌经营，严格准入门槛。按照“先证后照”原则实施准入管理，明确支付机构注册资本、主要股东、实控人、高管人员等准入条件，对其重大事项变更也实施许可管理，同时建立健全严重违法违规机构的常态化退出机制。 二是完善支付业务规则，强化风险管理。规定支付机构应当健全业务管理等制度，具备符合要求的业务系统、设施和技术。强化支付账户、备付金和支付指令等管理制度，明确支付机构不得挪用、占用、借用客户备付金，不得伪造、变造支付指令。压实支付机构用户尽职调查、风险监测等责任。 备付金是指非银行支付机构为用户办理支付业务而实际收到的预收待付货币资金。《条例》对于备付金的规定与现行做法基本相同，例如，《条例》第二十九条规定：“非银行支付机构应当将备付金存放在中国人民银行或者符合中国人民银行要求的商业银行。”此外，值得注意的是，2019年1月14日，第三方支付机构备付金全额缴存人民银行，支付机构将备付金存至商业银行赚取利息的盈利模式不再适用，《条例》明确禁止非银行支付机构向用户支付余额相关的利息等收益，延续了当前的做法。 三是加强用户权益保障。规定支付机构应当按照公平原则拟定协议条款，保障用户知情权和选择权。加强用户信息保护，明确信息处理、信息保密和信息共享等有关要求。要求支付机构对所提供的服务明码标价，合理收费。明确支付机构应当履行投诉处理主体责任。 四是依法加大对严重违法违规行为处罚力度。对于《条例》规定的违法违规行为，人民银行可依法对有关支付机构实施罚款，限制部分支付业务或者责令停业整顿，直至吊销其支付业务许可证等处罚措施。同时，明确可以根据具体情形对负有直接责任的董事、监事、高管人员和其他人员进行处罚，情节严重的还可采取市场禁入措施。 此外，在对公业务方面，《条例》引导对公业务通过商业银行账户开展支付。《条例》第二十三条指出：“国家引导、鼓励非银行支付机构与商业银行开展合作，通过银行账户为单位用户提供支付服务。”值得注意的是，《条例》并未禁止非银行支付机构直接向单位用户提供支付服务。 注： [1]资料来源：国务院，《非银行支付机构监督管理条例》，EB/OL，2023/12/17[2023/12/18]，https://www.gov.cn/zhengce/content/202312/content_6920724.htm。 [2]资料来源：国务院，《非银行支付机构监督管理条例》，EB/OL，2023/12/17[2023/12/18]，https://www.gov.cn/zhengce/content/202312/content_6920724.htm。 [3]资料来源：支付清算协会，《支付清算知识普及读本》，中国金融出版社，2020年9月。 [4]资料来源：人民银行，司法部、中国人民银行负责人就《非银行支付机构监督管理条例》答记者问，EB/OL，2023/12/17[2023/12/18]， http://www.pbc.gov.cn/goutongjiaoliu/113456/113469/5171366/index.html。 [5]资料来源：人民银行，金融管理部门善始善终推进平台企业金融业务整改 着力提升平台企业常态化金融监管水平，EB/OL，2023/7/7[2023/12/18]， http://www.pbc.gov.cn/goutongjiaoliu/113456/113469/4985377/index.html。 [6]资料来源：人民银行，司法部、中国人民银行负责人就《非银行支付机构监督管理条例》答记者问，EB/OL，2023/12/17[2023/12/18]， http://www.pbc.gov.cn/goutongjiaoliu/113456/113469/5171366/index.html。 ??特别提示 本报告内容仅对宏观经济进行分析，不包含对证券及证券相关产品的投资评级或估值分析，不属于证券报告，也不构成对投资人的建议。 长按上方二维码关注我

点此查看微信公众号原文全部内容>>

大部分微信公众号研报本站已有pdf详细完整版：https://www.wkzk.com/report/（可搜索研报标题关键词或机构名称查询原报告）